קמפיין תקיפה בסייבר נגד תשתיות קריטיות באזרבייג'ן
עמי רוחקס דומבה
| 20/04/2020
https://blog.talosintelligence.com/2020/04/poetrat-covid-19-lures.html
צוות המחקר טאלוס של חברת סיסקו גילה קמפיין חדש הכולל תוכנות זדוניות המבוסס על משפחה לא מוכרת בשם PoetRAT. "נכון לעכשיו אנו לא מאמינים כי ההתקפה הזו קשורה לשחקן איום ידוע. המחקר שלנו מראה כי התוכנה הזדונית הופצה באמצעות כתובות URL שמחקות תחומים ממשלתיים של אזרבייג'ן, ולכן אנו מאמינים כי היריבים במקרה זה רוצים לכוון לאזרחי אזרבייג'ן, כולל חברות פרטיות במגזר תשתיות קריטיות המפעילות מערכות SCADA, כמו מערכות טורבינת רוח.
המתקפה מתחילה במסמכי Microsoft Word מזוהמים הפורסים טרויאני מבוסס גישה מרחוק בPython. "המעניין ביותר הוא כלי המשמש לניטור הדיסק הקשיח להדלפת נתונים באופן אוטומטי. מלבד אלה, ישנם keyloggers, גנבי סיסמאות ממוקדי דפדפן, יישומי בקרת מצלמה, וגונבי סיסמאות גנריים אחרים. התוקף ביצע קמפיין דיוג באותן תשתיות. אתר הדיוג מחקה את הדואר האלקטרוני של תשתית הדואר האלקטרוני של ממשלת אזרבייג'ן", כותבים בפרסום.
עוד היבט מעניין הוא מסמך הוורד שטופל כמלכודת. המסמך נשלח לכאורה מהDRDO ההודי, המקביל של מפא"ת בארץ. המשמעות היא כי היעדים שהותקפו באזרבייג'ן היו צריכים להכיר מזה הDRDO. הארגון, דרך אגב, עובד גם עם לקוחות ממשלתיים בישראל. עם זאת, אין עדות שהקמפיין כוון למדינה אחרת פרט לאזרבייג'ן.
https://blog.talosintelligence.com/2020/04/poetrat-covid-19-lures.html
צוות המחקר טאלוס של חברת סיסקו גילה קמפיין חדש הכולל תוכנות זדוניות המבוסס על משפחה לא מוכרת בשם PoetRAT. "נכון לעכשיו אנו לא מאמינים כי ההתקפה הזו קשורה לשחקן איום ידוע. המחקר שלנו מראה כי התוכנה הזדונית הופצה באמצעות כתובות URL שמחקות תחומים ממשלתיים של אזרבייג'ן, ולכן אנו מאמינים כי היריבים במקרה זה רוצים לכוון לאזרחי אזרבייג'ן, כולל חברות פרטיות במגזר תשתיות קריטיות המפעילות מערכות SCADA, כמו מערכות טורבינת רוח.
המתקפה מתחילה במסמכי Microsoft Word מזוהמים הפורסים טרויאני מבוסס גישה מרחוק בPython. "המעניין ביותר הוא כלי המשמש לניטור הדיסק הקשיח להדלפת נתונים באופן אוטומטי. מלבד אלה, ישנם keyloggers, גנבי סיסמאות ממוקדי דפדפן, יישומי בקרת מצלמה, וגונבי סיסמאות גנריים אחרים. התוקף ביצע קמפיין דיוג באותן תשתיות. אתר הדיוג מחקה את הדואר האלקטרוני של תשתית הדואר האלקטרוני של ממשלת אזרבייג'ן", כותבים בפרסום.
עוד היבט מעניין הוא מסמך הוורד שטופל כמלכודת. המסמך נשלח לכאורה מהDRDO ההודי, המקביל של מפא"ת בארץ. המשמעות היא כי היעדים שהותקפו באזרבייג'ן היו צריכים להכיר מזה הDRDO. הארגון, דרך אגב, עובד גם עם לקוחות ממשלתיים בישראל. עם זאת, אין עדות שהקמפיין כוון למדינה אחרת פרט לאזרבייג'ן.
